Против оборонных корпораций США ведется кибервойна

Против оборонных корпораций США ведется кибервойна

Компания Symantec опубликовала результаты исследования Elderwood Project - группировки киберпреступников, деятельность которой антивирусный разработчик отслеживает с 2009 г. и называет беспрецедентной. Атакам Elderwood Project подвергаются организации, входящие в цепочки поставок предприятий оборонной промышленности, главным образом, ведущие компания отрасли.

Основной задачей организаторов Elderwood Project в Symantec называют шпионаж в компаниях: похищение планов работ, рабочих контактов, информации об инфраструктуре компаний и иной, как правило, секретной интеллектуальной собственности.

Symantec не называет конкретные цели атак Elderwood Project, но уточняет, что атакованные компании производят электронные и механические компоненты вооружений и систем по заказу ведущих оборонных корпораций США.

Эксперты предполагают, что организаторы атак рассчитывают на невыскоий уровень защищенности производителей компонент по сравнению с крупными компаниями.

Помимо компаний оборонного сектора Symantec называет в числе целей Elderwood Project финансовые структуры, нефтегазовые компании учреждения образования и даже правительственные организации Америки.

Помимо американских корпораций атакам Elderwood Project подвергались компании Канады, Китая, Гонконга и Австралии, а также неправительственные организации, работающие в сфере прав человека на Тайване, в Гонконге и Китае.

 

Интересная инфографика Symantec об Elderwood Project

 

 

Особенностью Elderwood Project является владение огромным числом уязвимостей «нулевого дня». Эксплойтами и уязвимостями «нулевого дня» (0-day) называются вновь открытые уязвимости ПО, данными о которых не располагает индустрия инфромационной безопасности, в силу чего борьба против них затруднительна.

Если в широко известном черве Stuxnet, атаковавшем объекты ядерной промышленности Ирана применялись 4 уязвимости «нулевого дня», то в Elderwood Project в 2011 г. их было использовано восемь.

В числе атакуемых продуктов Symantec называет Microsoft Internet Explorer 8, Adobe Flash Player различных версий, используемый на различных платформах, включая Linux и Microsoft XML Core Services, передает safe.cnews.ru.

Применение такого количества эксплойтов к уязвимостям нулевого дня говорит о высоком уровне подготовки, сообщает Symantec. Эксперты компании полагают, что хакеры-разработчики Elderwood Project либо получили доступ к исходному коду широко используемых программных приложений, либо провели их декомпиляцию, для чего им требовалось привлечь «очень и очень серьезные ресурсы».

«Раньше мы никогда не видели ничего подобного», - цитирует Huffington Post слова Орлы Кокс(Orla Cox), старшего менеджера по безопаности Symantec: «Кто-то им за это платит», - говорит она.

«Определить местоположение авторов атаки очень трудно», - говорит Орла Кокс: «Они хорошо скрывают следы, используя прокси-серверы и командные сервера в различных странах мира. Достаточными деньгами для поддержки такой деятельности может обладать организованная преступность или государство».

Стоит заметить, что гипотеза с доступом к исходным кодам продуктов кажется весьма вероятной в силу того, что эксперты Symantec связывают хакеров Elderwood Project с авторами трояна Aurora, с помощью которого в 2009 г. были атакованы Google, Adobe и другие крупные разработчики ПО, у которых и могли быть похищены исходники программ.

В опубликованных материалах Symantec называют два применяемых в Elderwood Project основных пути поражения целевых компьютеров. Помимо относительно традиционной практики рассылки «фишинговых писем», ими применяется «стратегия водопоя» (watering hole).

Как пишет эксперт Symantec по информационной безопасности Андрей Зеренков, вместо того, чтобы активно нападать на интересующие системы, злоумышленники заражают сайты, которые посещают интересующие их конкретные жертвы и встраивают эксплойты на страницы подобно тому, как хищник ожидает жертву у водопоя. В результате посещения зараженного сайта целевой ПК подвергается атаке, и в его систему устанавливается троянская программа.

В своем докладе о работе Elderwood Project Symantec предупреждает, что риску быть атакованными подвергаются любые компании, находящиеся в цепочке оборонных поставок, в том числе их дочерние компании и деловые партнеры.

В 2013 г. нужно ожидать нового раунда атак с использованием 0-day уязвимостей в Adobe Flash и Internet Explorer.

Вход в компанию на теневом рынке стоит от 100 долларов

Доступ к инфраструктуре компаний на теневом рынке чаще всего продают за сумму от $100 до $10 000. Таким образом, вход в корпоративную сеть иногда стоит дешевле хорошего ноутбука, а последствия для бизнеса могут легко улететь в миллионы долларов.

К таким выводам пришли эксперты Positive Technologies, изучив рынки монетизации уязвимостей. Цена зависит от масштаба компании, её выручки и отрасли. Чем крупнее цель и жирнее потенциальная добыча, тем выше ценник.

Доступ к инфраструктуре госучреждений может доходить до $1,5 млн, а к финансовым организациям — до $1 млн. По числу объявлений на теневых форумах лидируют промышленность и торговля: на них приходится 20% и 19% сообщений соответственно.

 

Продают не только готовые доступы, но и уязвимости. Почти половина таких объявлений связана с 0-day, ещё 11% — с 1-day. Чаще всего речь идёт об удалённом выполнении кода и повышении привилегий. В переводе с технического: злоумышленник получает шанс захватить устройство, закрепиться и полезть дальше по сети.

Самые популярные цели — интернет-сервисы и корпоративное ПО. Первые дают вход снаружи, вторые часто открывают дорогу внутрь: к данным сотрудников, клиентов и другим системам компании.

По данным Positive Technologies, в 2025 году медианная выплата за критическую уязвимость в баг-баунти составила 200 тыс. рублей, а медианная стоимость участия в кибериспытаниях — 1 млн рублей.

Это несравнимо меньше, чем расходы после успешной атаки: простой, восстановление инфраструктуры, внешняя экспертиза, потеря выручки и репутационный удар.

Эксперты советуют компаниям не ждать, пока их доступ появится на форуме с красивым ценником. Баг-баунти помогает найти дыры на внешнем периметре, кибериспытания проверяют устойчивость к реальным сценариям атак, а Threat Intelligence заранее сигналит, если данные компании всплыли в даркнете.

RSS: Новости на портале Anti-Malware.ru